Journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,...

Posté par  .
Étiquettes :
0
10
août
2005
Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.

Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).

dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd

Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (…)

Forum Linux.noyau Résultat de paxtest

Posté par  (site web personnel) .
Étiquettes :
0
23
juil.
2007
Bonjour, Je suis en train de configurer grsecurity et pax sur un kernel 2.6.19.2. Je lance paxtest pour voire les progressions mais il y a 4 vulnérabilités que je n'arrive pas à écarter. Voici le résultat de ./paxtest blackhat : 
PaXtest - Copyright(c) 2003,2004 by Peter Busser  Released under the GNU Public Licence version 2 or later Mode: blackhat Linux Viki 2.6.19.2-grsec #7 Mon Jul 23 18:07:29 CEST 2007 i686 GNU/Linux Executable anonymous mapping : Killed Executable bss : (…)

Journal Graves problèmes de sécurité dans x.org

Posté par  .
Étiquettes :
0
13
mai
2006
Un chercheur français du DCSSI, Loïc Duflot, à récemment publié un papier[1] sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour circonvenir les protections habituelles (type SELinux, GRsecurity etc).

La description du problème est assez complexe mais securityfocus a publié une interview de Duflot très éclairante[2] : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter (…)

Sortie d'OpenWall Linux 1.0

Posté par  . Modéré par Amaury.
Étiquettes :
0
16
oct.
2002
Linux
OpenWall Linux est une distribution libre, volontairement dépouillée de gadgets, mais fortement axée sur la sécurité.

Après un an de tests, Solar Designer et son équipe viennent de fêter la sortie de la version 1.0 de cette distribution. Les procédures d'installation rebuteront les habitués des installeurs graphiques, mais raviront ceux qui préférent les installeurs textes.

Ndm : Openwall est également connu pour les patches destinés à sécuriser le noyau Linux, comme grsecurity.

Journal Bouh la la qu'est ce qui ce passe.....

Posté par  (site web personnel) .
Étiquettes :
0
14
août
2003
Rho la j'ai une merde ... bizarre. Hier soir je faisait un inventaires des diverses videos et autres fichiers multimedia disponibles sur mes DD.
Nautilus me proposait de lire les videos avec totem (un derive de xine) ... mais impossible de faire quoi que ce soit, l'interface n'apparaissait pas et le processus restait en fond.
Qu'a cela ne tienne je me dit c un bug dans totem (je venait de mettre a jour ma Debian/sid) et je lance mon mplayer (…)

Dossier sur le renforcement des fonctions de sécurité du noyau sur Secuobs.com

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
0
15
nov.
2007
Noyau
Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique et ses outils libres, propose un dossier sur les systèmes qui permettent de renforcer la sécurité de la branche 2.6 des noyaux Linux.

Ce dossier francophone, en libre l'accès pour tous, porte sur l'activation de ASLR (Address Space Layout Randomization), de GrSecurity et de PaX ainsi que sur celle de SELinux ; vous y retrouverez les procédures d'installation, de configuration et d'administration de ces mécanismes ainsi que des exemples d'attaques.

Vous pourrez également vous servir de la base d'exploits ExploitTree, basée sur CVS, et de sa plateforme de recherche en Perl afin de tester l'ensemble de ces fonctions de renforcement des noyaux Linux de cette branche.

Forum Linux.debian/ubuntu Appliquer patch grsecurity

Posté par  .
Étiquettes :
0
8
avr.
2006
Bonjour,

J'ai suivi la marche à suivre pour installer le patch grsecurity.

J'ai téléchargé les sources du noyau 2.6.16.2 et le dernier patch grsecurity pour le noyau 2.6. Et je le ai décompressées dans le rep /usr/src
Je dezippe donc le patch dans ce même rep et j'éxécute la commande

patch -p0 < grsecurityXXX.XXX.XXX.patch


Le patch me retourne l'érreur suivante 

can't find file to patch at input line 4

Perhaps you used the wrong -p or --strip option?
The text (…)

Forum Linux.débutant apache virtualhost readhat grsec

Posté par  .
Étiquettes :
0
17
sept.
2004
Bonjour,

Nous avons pris un serveur OVH au boulot, je souhaite configurer dans apache un virtualhost pour rediriger different domaine vers différent repertoire.

Je configure mon virtualhost comme c'est indiqué dans la doc.
J'obiens

"The requested URL /test.html was not found on this server."

lorsque je lance ma page .

J'ai a priori bien configuré apache ...


Voilà la version du noyau 2.4.26-grsec

On m'a dit que cela pouvait venir du fait d'avoir grsecurity d'installé.

Quelqu'un peut-il me donner plus (…)

Journal "Improved Memory Allocation" dans OpenBSD 3.8

Posté par  (site web personnel) .
Étiquettes :
0
24
août
2005
La prochaine release d'OpenBSD (la 3.8) contiendra une nouvelle façon de gérer les allocations de mémoire. En gros ce sera plus sécurisé et plus strict qu'avant.
Theo de Raadt a lancé un appel aux tests car cette nouveauté risque de casser les logiciels qui sont mal codés.

Questions pour ceux qui savent :
1) En quoi cette "amélioration de l'allocation mémoire" est elle différente des patchs PaX ou GRSecurity qui existent déja pour Linux (et qui sont je crois inclus (…)

Le patch OpenWall

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
0
18
avr.
2002
Noyau
SecurityFocus nous propose de jeter un oeil au patch Openwall. C'est un patch apportant au noyau Linux des fonctionnalités de sécurité. Cet article explique comment installer ce patch et nous en présente les pricipales fonctionnalités.

La fonctionnalité la plus connue d'Openwall est certainement l'option qui consiste à rendre la pile noyau non exécutable. Mais il ne fait pas que cela, vous le découvrirez dans cet article.

Ce qui est dommage c'est que ce patch n'est pour l'instant disponible que pour les versions 2.2.x du noyau (même si les travaux pour le 2.4.x sont en cours). Ceux qui utlisent les noyaux 2.4.x se tourneront peut-être plus facilement vers le patch Grsecurity.

NdR : Ceci est une adaptation/traduction du début de l'article...
NdM : Grsecurity r0x0r !

Journal @#§! de patch WOLK

Posté par  (site web personnel) .
Étiquettes :
0
12
juin
2003
Lorsque je suis tombé sur http://wolk.sf.net/ (Wolk est un très gros patch à appliquer sur le noyau 2.4.20 apportant toutes les améliorations des versions de developpement 2.5.x), je me suis dit « Chouette, c'est mon serveur qui va etre heureux ». Mais que de soucis avec ! Tout d'abord, à ma première recompilation j'avais oublié d'incorporer le bon support des quotas (Il y a 3 interfaces/API/Formats différentes), ensuite, un autre probleme avec la gestion du NAT, puis impossible d'obtenir la (…)

Graves problèmes de sécurité dans x.org

Posté par  . Modéré par rootix.
Étiquettes :
0
15
mai
2006
Serveurs d’affichage
Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.

Forum Linux.général [RÉSOLU] grsecurity et politique de mise à jour

Posté par  .
Étiquettes :
0
10
déc.
2012

Bonjour,

Après avoir expérimenté grsecurity sur une machine virtuelle, je me pose la question de sa mise en place sur une machine en production.
Lorsqu'on regarde le changelog de la version stable, on note des modifications plusieurs fois par semaine.

En attendant de mettre en place Ksplice, comment cela peut-il être compatible avec un serveur en production qui doit rester accessible en continue pour ses utilisateurs ?

Pour ceux qui ont choisi d'appliquer ce patch, comment gérez-vous ces multiples changements ?

(…)

Journal 2.6.8 dans les bacs

Posté par  (site web personnel) .
Étiquettes :
0
14
août
2004
Ah mon beau journal, quelle belle journée ensoleillée pour profiter du 2.6.8 final a recompiler sur sa belle station :) Bref, que du bon. Nouveau site pour grsecurity mais pas encore de patch en téléchargement, attendons lundi ou mardi.

LE changelog : http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.8(...)

Journal Qui va sauver grsecurity ?

Posté par  (site web personnel) .
Étiquettes :
0
31
mai
2004
Le projet grsecurity n'a plus de sponsor et le développement est arrêté. Il est prévu de fermer le site le 7 Juin.

http://www.grsecurity.org/(...)

Pour ceux qui ne connaissent pas il s'agit d'un projet visant à augmenter fortement la sécurité et permettant en particulier d'ajouter de nombreuses restriction à ce que l'on a droit de faire sur la machine